Le regole da rispettare per installare sistemi di videosorveglianza

Videosorveglianza: siamo sicuri di avere ben chiaro quali sono le regole, le autorizzazioni, come deve essere fatta l’informativa? Un piccolo promemoria per verificare che tutto sia in linea.

Quali sono le regole per l’installazione di sistema di videosorveglianza

L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

E’ bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB) ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Occorre un’autorizzazione del Garante per installare le telecamere?

No. Non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi. In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

Le persone che transitano nelle aree videosorvegliate, devono essere informate della presenza delle telecamere?

Sì. Gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato

In che modo si fornisce l’informativa agli interessati?

L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB, che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Quali sono i tempi dell’eventuale conservazione delle immagini registrate?

Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”).

In via generale, gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni. Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione. Ad esempio, normalmente il titolare di un piccolo esercizio commerciale si accorgerebbe di eventuali atti vandalici il giorno stesso in cui si verificassero. Un periodo di conservazione di 24 ore è quindi sufficiente. La chiusura nei fine settimana o in periodi festivi più lunghi potrebbe tuttavia giustificare un periodo di conservazione più prolungato.

E’ possibile prolungare i tempi di conservazione delle immagini?

In alcuni casi può essere necessario prolungare i tempi di conservazione delle immagini inizialmente fissati dal titolare o previsti dalla legge: ad esempio, nel caso in cui tale prolungamento si renda necessario a dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.

Quali sistemi di videosorveglianza necessitano di valutazione.

La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento) (per approfondimenti si vedano le “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679” – WP248rev.01 del 4 ottobre 2017). Può essere il caso, ad esempio, dei sistemi integrati – sia pubblici che privati – che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Il datore di lavoro pubblico o privato, può installare un sistema di videosorveglianza nelle sedi di lavoro?

Sì, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970).

L’installazione di sistemi di videosorveglianza può essere effettuata da persone fisiche per fini esclusivamente personali, atti a monitorare la proprietà privata?

Sì. Nel caso di videosorveglianza privata, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di propria esclusiva pertinenza, escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, parti comuni delle autorimesse) ovvero a zone di pertinenza di soggetti terzi. È vietato altresì riprendere aree pubbliche o di pubblico passaggio.”

Sul tema si raccomanda la consultazione della scheda informativa che illustra le principali indicazioni per le persone fisiche che intendono installare, in ambito personale o domestico, sistemi di videosorveglianza a tutela della sicurezza di persone o beni.

È necessario in primo luogo che l’istallazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Valgono al riguardo le osservazioni di cui alla FAQ n. 5. In ambito condominiale è comunque congruo ipotizzare un termine di conservazione delle immagini che non oltrepassi i 7 giorni.

Quali regole per installare un sistema di videosorveglianza condominiale?
È necessario in primo luogo che l’istallazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Valgono al riguardo le osservazioni di cui alla FAQ n. 5. In ambito condominiale è comunque congruo ipotizzare un termine di conservazione delle immagini che non oltrepassi i 7 giorni.

Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sì. Il trattamento dei dati personali mediante l’uso di telecamere installate nella propria abitazione per finalità esclusivamente personali di controllo e sicurezza, rientra tra quelli esclusi dall’ambito di applicazione del Regolamento. In questi casi, i dipendenti o collaboratori eventualmente presenti (babysitter, colf, ecc.) devono essere comunque informati dal datore di lavoro. Sarà comunque necessario evitare il monitoraggio di ambienti che ledano la dignità della persona (come bagni), proteggere adeguatamente i dati acquisiti (o acquisibili) tramite le smart cam con idonee misure di sicurezza, in particolare quando le telecamere sono connesse a Internet, e non diffondere i dati raccolti.

I Comuni posso utilizzare telecamere per controllare discariche di sostanze pericolose ed “eco piazzole” per monitorare le modalità del loro uso, la tipologia dei rifiuti scaricati e l’orario di deposito?

Sì, ma solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati. In tal caso, l’informativa agli interessati può essere fornita mediante affissione di cartelli informativi nei punti e nelle aree in cui si svolge la videosorveglianza, che contengano anche indicazioni su come e dove reperire un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento (cfr. precedente FAQ n. 4). Non è invece previsto o consentito che tale monitoraggio sia posto in essere da soggetti privati.

Si può utilizzare un sistema di videosorveglianza per trattare categorie particolari di dati?

Se le riprese video sono trattate per ricavare categorie particolari di dati, il trattamento è consentito soltanto se risulta applicabile una delle eccezioni di cui all’art. 9 del Regolamento (ad esempio, un ospedale che installa una videocamera per monitorare le condizioni di salute di un paziente effettua un trattamento di categorie particolari di dati personali).

In via generale, ogniqualvolta si installa un sistema di videosorveglianza si dovrebbe prestare particolare attenzione al principio di minimizzazione dei dati. Pertanto, il titolare del trattamento deve in ogni caso sempre cercare di ridurre al minimo il rischio di acquisire filmati che rivelino altri dati a carattere sensibile, indipendentemente dalla finalità.

Il trattamento di categorie particolari di dati richiede una vigilanza rafforzata e continua su taluni obblighi, ad esempio un elevato livello di sicurezza e una valutazione d’impatto sulla protezione dei dati, ove necessario (cfr. FAQ n. 7).

I sistemi elettronici di rilevamento delle infrazioni inerenti violazione del codice della strada, vanno segnalate da cartello/informativa?

Sì. I cartelli che segnalano tali sistemi sono obbligatori, anche in base alla disciplina di settore. L’utilizzo di tali sistemi è lecito se sono raccolti solo dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l’angolo visuale delle riprese. La ripresa del veicolo non deve comprendere (o deve mascherare), per quanto possibile, la parte del video o della fotografia riguardante soggetti non coinvolti nell’accertamento amministrativo (es. eventuali pedoni o altri utenti della strada). Le fotografie o i video che attestano l’infrazione non devono essere inviati al domicilio dell’intestatario del veicolo, ma l’interessato, ossia la persona eventualmente ritratta nelle immagini, può richiederne copia oppure esercitare il diritto di accesso ai propri dati (fermo restando che dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo).

Ci sono casi di videosorveglianza in cui non si applica la normativa in materia di protezione dei dati?

Sì. La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso delle riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni). Non si applica, inoltre, nel caso di fotocamere false o spente perché non c’è nessun trattamento di dati personali (fermo restando che, nel contesto lavorativo, trovano comunque applicazione le garanzie previste dall’art. 4 della l. 300/1970) o nei casi di videocamere integrate in un’automobile per fornire assistenza al parcheggio (se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa a una persona fisica, ad esempio targhe o informazioni che potrebbero identificare i passanti).

Come esercitare i propri diritti in materia di privacy.

Per esercitare i tuoi diritti, devi contattare direttamente l’organizzazione che detiene i tuoi dati. Ecco quattro tecniche per trovare il punto di contatto che gestirà la tua richiesta di cancellazione, accesso, rettifica, opposizione, ecc.

Caso pratico:

Il tuo nome appare sul sito X. Vuoi che il tuo nome venga rimosso da questo sito.

  1. Trovate i recapiti nella sezione del sito web dell’organizzazione interessata 

Tutte le organizzazioni che utilizzano i tuoi dati personali, sono tenute a fornirti informazioni sui tuoi diritti GDPR. Tali informazioni sono il più delle volte materializzate dalla presenza – in fondo alla home page del sito – di un link che porta ad una pagina intitolata: 

  • ” protezione dati “;
  • ” politica sulla riservatezza “;
  • “dati personali “;
  • “vita privata “;
  • “legge sulla protezione dei dati” o “RGPD”;

Una sezione di questa pagina è normalmente dedicata alle modalità di esercizio dei tuoi diritti, non esitate a leggerla e seguite le istruzioni fornite per una migliore elaborazione della vostra richiesta.

  • Trova i dettagli di contatto del proprio DPO, che l’organizzazione potrebbe aver pubblicato

Dal 25 maggio 2018, decine di migliaia di organizzazioni, tra cui grandi aziende, ministeri ed enti locali, si sono affidate a un Data Protection Officer (DPO) per facilitare l’esercizio dei diritti dei propri clienti/utenti.

  1. Contattare l’organizzazione tramite il metodo di contatto generico

In mancanza di una sezione dedicata all’esercizio dei tuoi diritti GDPR, contatta il servizio clienti o contatta l’organizzazione tramite il form o l’indirizzo di contatto generico. Questi dettagli di contatto si trovano generalmente in una sezione intitolata “Note legali”.

Quali sono le informazioni obbligatorie su un sito web?

  1. Le informazioni obbligatorie per i siti web di Srl, Srls, Spa sono le seguenti:
  2. Ragione sociale;
  3. Sede legale;
  4. Codice Fiscale della società e Partita IVA;
  5. Ufficio del registro delle imprese presso il quale è iscritta la società (esempio “Ufficio delle imprese di…”);
  6. Numero d’iscrizione al REA;
  7. Capitale sociale e quota versata;
  8. Se la Società per Azioni o la Società a Responsabilità Limitata è a socio unico (società uni-personale), bisogna obbligatoriamente indicarlo;
  9. Nel caso di scioglimento della società, va inserito lo stato di liquidazione;
  10. Privacy & Cookie Policy conformi alle linee guida espresse dal Garante della Privacy
  11. L’inserimento della PEC sul sito web ad oggi non è obbligatoria, ma consigliato.

Per praticità e facilità di fruizione è buona norma inserire questi dati nel footer del sito. Vi è comunque la possibilità di inserire nella home page solamente il nome della società, la sede legale e la partita IVA ed indicare le altre informazioni nella pagina dedicata ai termini e condizioni del sito web oppure a quella dedicata alle note legali o ai contatti.

L’importante è che i dati siano tutti presenti e facilmente accessibili per l’utente.

  • Se l’azienda non ha un sito o non indica alcuna coordinata, consulta il registroimprese
  • Oppure su Whois

Chi è Whois.

In Whois trovi directory di nomi di dominio che forniscono informazioni sull’identità degli editori di siti Web.  Generalmente whois mostra solo le informazioni relative all’host, ma in alcuni casi offre anche l’identità e i dati di contatto del titolare, del nome a dominio e quelli del contatto amministrativo.

SUGGERIMENTI AGGIUNTIVI

Cerca sui social media…

Un’organizzazione generalmente fa affidamento su una pagina Facebook o su un account Twitter, YouTube o LinkedIn per comunicare. In alcuni casi (es. cancellarsi da una newsletter), può essere più facile e veloce passare attraverso questi social network, per contattare il responsabile di un sito.

  • Nel motore di ricerca di Facebook, digita “nome sito”
  • In un motore di ricerca, digita “nome del social network + nome del sito”
  • Oppure, su Twitter, messaggio privato o pubblico @sitename

I social network: quali informazioni sono memorizzate e come fare per avere un elenco dettagliato.

La maggior parte dei social network ti offre di scaricare una cartella di archivio contenente le tue vecchie pubblicazioni, messaggi, documenti e informazioni di cui potresti esserti dimenticato. Perché e come utilizzare questa funzione?

Qual è il punto

Alcune piattaforme ti offrono, in pochi click e senza particolari conoscenze tecniche, di scaricare un archivio contenente in tutto o in parte i dati memorizzati su di te.  Queste informazioni possono essere utili per:

  • scoprire quali informazioni ha su di te un servizio dopo diversi anni di utilizzo;
  • vedere se il servizio online sta utilizzando dati che pensavi di aver cancellato;
  • riutilizzare le informazioni per altri usi personali.

Quale formato scegliere

Quando le piattaforme di contenuti inviano set di dati su di te, a volte ti offrono la possibilità di scegliere tra diversi formati, inclusi PDF, JSON, XML, CSV, HTML. Questi formati sono leggibili dalla maggior parte delle macchine, ma alcuni richiedono più conoscenze per essere utilizzati.

  1. Il formato HTML consente di visualizzare i dati sotto forma di una pagina Web interattiva.
  2. Il formato PDF fornisce una panoramica dei dati offerti dalla piattaforma.
  3. I formati JSON , XML e CSV richiedono la conoscenza degli strumenti di manipolazione dei dati (foglio elettronico, database, ecc.) e si rivolgono maggiormente ai professionisti.

Esercita il tuo diritto alla portabilità

Questo nuovo diritto previsto dal GDPR ti consente di ottenere una copia di tutti, o parte dei tuoi dati, in un formato interoperabile (cioè che permette l’interscambio) al fine di riutilizzarli in un altro contesto. Ad esempio, il download dei dati dalla tua agenda online, ti consentirà di riutilizzarli in un’altra agenda o in un contesto completamente diverso. Vediamo come esercitare il tuo diritto alla portabilità. 

Facebook

La procedura

  • Vai alle impostazioni del tuo account;
  • Nella colonna sinistra, clicca su Le tue informazioni su Facebook;
  • Accanto a Scarica le tue informazioni, clicca su Visualizza;
  • Per aggiungere o rimuovere categorie di dati dalla tua richiesta, clicca sulle caselle sul lato destro di Facebook;
  • Seleziona altre opzioni, tra cui:
    • il formato della tua richiesta di download;
    • la qualità di foto, video e altri file multimediali;
    • un intervallo di date specifico per le informazioni. Se non selezioni un intervallo di date, richiedi tutte le informazioni relative alle categorie selezionate;
  • Clicca su Crea il file per confermare la richiesta di download;
  • Quali dati sono a tua disposizione? 
    • Informazioni sul profilo: i tuoi legami familiari, le pagine/gruppi “mi piace” e i luoghi dalla tua registrazione;
    • contatti telefonici a cui Facebook ha avuto accesso;
    • il registro dei tuoi post, testi, commenti, Mi piace, condivisioni e messaggi pubblici dei tuoi amici;
    • le tue foto e i tuoi video;
    • i tuoi amici e amici eliminati o negati;
    • messaggi privati ​​inviati ai tuoi amici ed ex amici;
    • gli eventi a cui hai partecipato.
    • lo stato del tuo account cambia e il corrispondente indirizzo IP;
    • temi pubblicitari associati al tuo profilo;
    • applicazioni installate;
    • luoghi creati.

Instagram

La procedura

  • Connettiti dal tuo computer o vai alla sezione “opzioni” della tua applicazione mobile;
  • Clicca su “download dati” quindi inserisci il tuo indirizzo e-mail e la password del tuo account;
  • Riceverai quindi un’e-mail contenente un collegamento a un archivio da scaricare.

L’archivio non contiene solo foto e video, ma anche messaggi privati, Mi piace, commenti lasciati sotto i video, persone che segui e quelle che hai bloccato. La raccolta e l’invio di questi dati possono richiedere fino a 48 ore.

WhatsApp

La procedura

  • Vai alla tua applicazione WhatsApp;
  • Fare clic su Parametri/Impostazioni > Account > Richiedi informazioni sull’account;
  • Tocca Richiedi rapporto;
  • La richiesta inviata appare sullo schermo;

Il ritardo indicato da WhatsApp è di 3 giorni;

WhatsApp offre una pagina dedicata con informazioni aggiuntive.

Snapchat

La procedura

  • Vai al sito Web dell’app;
  • Fare clic sulla scheda “I miei dati”;
  • Quindi “invia la mia richiesta”;
  • Riceverai un’e-mail contenente il link per il download dell’archivio;

Quali dati sono a tua disposizione?

  • Cronologia degli accessi e informazioni sull’account;
  • Cronologia degli snap (ricevuti/inviati);
  • cronologia chat (ricevuta/inviata);
  • storico acquisti (es. geofiltri);
  • Cronologia del supporto di Snapchat;
  • profilo utente (coinvolgimento, pubblicità con cui hai interagito, interessi, ecc.);
  • amici (richieste inviate, utenti bloccati o cancellati, ecc.); 
  • classifica (numero di storie visualizzate, ecc.);
  • cronologia dell’account (modifiche a password, nickname, ecc.);
  • cronologia delle posizioni;
  • cronologia delle ricerche;
  • storia della condizione;
  • Abbonamenti Bitmoji

Twitter

La procedura

  1. Accedi alle impostazioni del tuo account cliccando sull’icona del profilo in alto a destra nella pagina e selezionando “impostazioni” dal menu a tendina;
  2. Clicca su “Richiedi il tuo archivio”;
  3. Una volta che il download è pronto, riceverai un’e-mail contenente un link per il download;
  4. Fai clic sul pulsante “Scarica ora” per scaricare il file .zip del tuo archivio Twitter;
  5. Decomprimi il file e clicca su index.html per visualizzare l’archivio nel browser che preferisci;

Quali dati sono a tua disposizione?

Solo i tweet sono messi a tua disposizione come utente. Una funzione comunque utile per accedere più facilmente ai tuoi primi tweet o individuare le parole che hai usato nei tuoi vecchi tweet. 

TRUCCO

Su un browser, un documento di testo o un PDF, usa la scorciatoia “Ctrl” + “F” per cercare utilizzando una parola chiave.

Linkedin

La procedura

  • Vai alla pagina delle preferenze e della privacy ;
  • Clicca sulla scheda “Privacy” nella parte superiore della pagina;
  • Nella sezione “Come LinkedIn utilizza i tuoi dati”, fai clic su “modifica” accanto a “carica i tuoi dati”.
  • Seleziona le informazioni desiderate quindi “scarica”.
  • Per motivi di sicurezza, ti potrebbe essere chiesto di identificarti nuovamente.
  • In pochi minuti riceverai un’e-mail con un link per il download.

Quali dati sono a tua disposizione?

Linkedin offre una tabella che riassume le categorie di dati raccolti.

Google (Youtube, Drive, Maps, ecc.)

La procedura

  • Vai al link che porta al servizio “Takeout”;
  • Seleziona i dati da scaricare;
  • Seleziona i formati;
  • Fare clic su “Avanti”;
  • Personalizza il formato dell’archivio (.Zip) e la modalità di invio.
  • Quindi “crea archivio”.

Quali dati sono a tua disposizione?

Tutto dipende dal fatto che la cronologia delle attività sia attivata o meno e dall’utilizzo di determinati servizi aggiuntivi. 

  1. I luoghi visitati;
  2. i siti che hai visitato;
  3. il tuo profilo commerciale articolato per centri di interesse;
  4. video guardati su Youtube;
  5. il tuo calendario se lo sincronizzi regolarmente con i servizi Google;
  6. documenti presenti su Cloud Drive e quelli già cancellati;
  7. email ricevute ed eliminate

Apple

Apple ti consente di ottenere una copia dei tuoi dati, correggerli, disattivare il tuo account ed eliminarli. 

La procedura

  • Vai su https://privacy.apple.com ;
  • Seleziona il tipo di file che desideri ottenere;
  • Quindi scegli la dimensione del tuo file di download;

Per elaborare la tua richiesta è necessario un periodo di circa sette giorni. 

Quali dati sono a tua disposizione? 

  • Dati sull’attività e sull’utilizzo dell’app (formati JSON, CSV, PDF, ecc.);
  • documenti, foto e video archiviati online;
  • elenco contatti, calendario, segnalibri ed e-mail; 
  • cronologia degli acquisti su App Store;
  • supporto cronologia dei contatti;
  • eccetera

La propria immagine online: scopri come richiederne la rimozione ed esercitare i tuoi diritti.

Hai trovato una tua foto oppure un video che ti riproduce e non hai dato il consenso? Ecco come esercitare i tuoi diritti.     

Chi contesta la diffusione della propria immagine su un sito web, può rivolgersi sia al gestore del sito, in applicazione del diritto alla cancellazione previsto dal Regolamento generale sulla protezione dei dati (GDPR), sia al giudice in base ai principi del diritto di immagine (obbligo di ottenere il consenso).

Esistono due procedure, che puoi eseguire in parallelo:

  • se desideri che il gestore dei diritti dell’immagine elimini la tua immagine,
  • se vuoi chiedere al sito di annullare la pubblicazione della tua foto/video.

Chiedi al fotografo di rimuovere una foto in nome dei diritti di immagine

Tipo di situazione:

  1. Assicurati che questa foto ti identifichi
  2. Assicurati di non aver mai acconsentito a questo scatto
    L’autorizzazione all’uso della tua immagine limita la tua possibilità di contestarne la distribuzione o il riutilizzo, a meno che i termini dell’accordo scritto non corrispondano al quadro previsto dalla legge.

Forma dell’accordo scritto: questo “contratto” stipulato tra il fotografo/videografo è il più delle volte un impegno scritto, datato e firmato da parte tua e che richiede il tuo consenso per essere fotografato/filmato e la tua autorizzazione alla distribuzione della tua immagine, in un quadro ben preciso:

  1. Su quale supporto verranno distribuite le foto? 
  2. Quali sono gli obiettivi di questa trasmissione? 
  3. Quanto dura questa autorizzazione?

Nota: nel caso di immagini riprese in luoghi pubblici è necessaria solo l’autorizzazione di persone isolate e riconoscibili.

Tuo figlio è minorenne? Sii particolarmente attento che il fotografo ti chieda l’autorizzazione scritta dei genitori.

Contatta l’autore della trasmissione

Nel caso di un’iniziativa di un individuo, potrebbe essere il fotografo che ha scattato la foto o la persona che ha pubblicato la tua immagine.

In un contesto più professionale (clip musicale, spot pubblicitario, ecc.), potrebbe essere l’organizzazione che utilizza queste immagini per scopi di comunicazione.

Se il fotografo/videografo si rifiuta di annullare/sfocare la tua immagine, hai la possibilità di adire il giudice civile/penale affinché possa sanzionare l’autore della trasmissione contestata. Hai un periodo di 3 anni dalla distribuzione dell’immagine.

 Chiedi al sito di annullare la pubblicazione della tua foto

Tipo di situazione 

  • Non ho dato il mio consenso a farmi fotografare,
  • Ho dato il mio consenso a farmi fotografare, ma non per una trasmissione online….

Assicurati che questa foto ti permetta di essere identificato

Non appena si riferisce a una persona identificata o identificabile, l’immagine di una persona è un dato personale. Per far valere i diritti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR), devi dimostrare di essere riconosciuto.

Contattare il gestore del sito su cui è pubblicata l’immagine

  • Vai alla pagina informativa riservata all’esercizio dei tuoi diritti sul sito web dell’organizzazione (“privacy policy”,  “nota legale”, ecc.).
  • Scrivi al sito/social network/servizio online chiedendo loro di annullare la pubblicazione dell’immagine. Utilizza come esempio questo modello di posta, senza dimenticare di menzionare gli URL interessati, le informazioni da eliminare e il motivo. 
  1. Allega un documento d’identità se necessario. Se e solo se l’organizzazione ha ragionevoli dubbi sulla tua identità, potrebbe chiederti di allegare qualsiasi documento per provare la tua identità, ad esempio per evitare il furto di identità. D’altra parte, non può chiederti documenti giustificativi che sarebbero abusivi, irrilevanti e sproporzionati rispetto alla tua richiesta.

Nota: il diritto alla cancellazione è un diritto personale! Non puoi in nessun caso esercitare questo diritto per conto di un’altra persona, se non nei casi di rappresentanza di minori o adulti tutelati.

Se la risposta non è soddisfacente

  • Se entro un mese non è stata formulata una risposta soddisfacente dal sito, contattare il Garante Privacy, tramite il suo modulo di reclamo online, ricordandosi di allegare copia dei passaggi effettuati con il sito.
  • Hai anche la possibilità di andare in tribunale.

I limiti del diritto alla cancellazione 

  • Il diritto alla cancellazione è revocato in un numero limitato di casi. Non deve andare contro:
  • l’esercizio del diritto alla libertà di espressione e di informazione;
  • adempimento di un obbligo legale (es. periodo di conservazione di una fattura = 10 anni);
  • l’utilizzo dei Suoi dati se riguarda un interesse pubblico in materia di salute;
  • il loro utilizzo a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici;
  • l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

La violazione dei dati personali.

Tutte le organizzazioni che elaborano i dati personali devono disporre di misure per prevenire violazioni dei dati e rispondere in modo appropriato in caso di incidente. Gli obblighi previsti dal GDPR mirano a evitare che una violazione possa arrecare danno o pregiudizio alle organizzazioni e ai soggetti interessati. 

I nuovi obblighi in materia di data breach previsti dagli articoli 33 e 34 del GDPR, specificano l’obbligo generale di sicurezza che deve essere rispettato dalle organizzazioni che trattano dati personali. 

In base a questo principio essenziale, queste organizzazioni devono mettere in atto misure volte a:

  • prevenire qualsiasi violazione dei dati;
  • reagire adeguatamente in caso di violazione, vale a dire porre fine alla violazione e minimizzarne gli effetti.

Tali disposizioni mirano a preservare sia:

  • titolari del trattamento: al fine di tutelare il proprio patrimonio informativo, in particolare consentendo loro di mettere al sicuro i propri dati;
  • le persone interessate dalla violazione: al fine di evitare che causi loro danno o pregiudizio, in particolare consentendo loro di adottare le precauzioni necessarie in caso di incidente. 

Si raccomanda pertanto alle organizzazioni che trattano i dati personali (titolare o responsabile del trattamento) di pianificare e attuare procedure complete per le violazioni dei dati personali. Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, contenerla tempestivamente, analizzare i rischi generati dall’incidente e determinare se sia opportuno avvisare l’autorità di controllo, o anche gli interessati. Tali procedure concorrono quindi alla documentazione della conformità al GDPR.

Che cos’è una violazione dei dati?

L’ articolo 4(12) del GDPR definisce una violazione dei dati personali una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione accidentale o illecita, la divulgazione non autorizzata dei dati personali trasmessi, archiviati o altrimenti elaborati, o l’accesso non autorizzato a tali dati.

Si tratta di qualsiasi incidente di sicurezza, di origine dannosa o meno e che si verifica intenzionalmente o meno, con la conseguenza di compromettere l’integrità, la riservatezza o la disponibilità dei dati personali.

Esempi:

  • cancellazione accidentale di dati medici detenuti da una struttura sanitaria e non altrimenti sottoposti a backup;
  • perdita di una chiave USB non protetta contenente una copia del database clienti di un’azienda;
  • ingresso dannoso in un database scolastico e modifica dei risultati ottenuti dagli studenti.

Chi è interessato

Tutte le organizzazioni, pubbliche e private, indipendentemente dalle loro dimensioni, sono soggette a questi obblighi non appena trattano dati personali e vengono a conoscenza di una violazione dei dati personali. Non sono più riservati, come prima del GDPR, ai soli fornitori di servizi di comunicazione elettronica. I subappaltatori, che trattano dati personali per conto di un organismo responsabile del trattamento, hanno anche obblighi in materia di violazione: devono in particolare avvisare l’organizzazione di qualsiasi incidente di sicurezza il prima possibile, affinché possano adempiere ai propri obblighi.

Quali sono i principali obblighi di violazione dei dati?

PER GLI INTERESSATI,
LA VIOLAZIONE GENERA:
NESSUN RISCHIOUN RISCHIOALTO RISCHIO
Documentazione interna , nel “Registro delle violazioni”XXX
Notifica alla Garante, entro un massimo di 72 oreXX
Informazione delle persone interessate il prima possibile, salvo casi particolariX

Sono previste esenzioni dall’obbligo di informare gli interessati?

: in caso di violazione che comporti un rischio elevato, sono previste deroghe all’obbligo di informare le persone. Questi sono i seguenti casi:

  • i dati personali interessati dalla violazione in questione, sono protetti da idonee misure di protezione tecnica e organizzativa e risultano quindi incomprensibili a chiunque non sia autorizzato ad accedervi;

(Esempio: i dati sono stati sottoposti ad una misura di cifratura all’avanguardia, la cui chiave non è stata compromessa ed è stata generata in modo tale da non poter essere ritrovati, con nessun mezzo tecnologico esistente, da qualcuno che non sia autorizzato ad usarlo)

  • il responsabile del trattamento ha successivamente adottato misure atte a garantire che l’elevato rischio per i diritti e le libertà delle persone, non sia più probabile che si concretizzi;

(Esempio: le password dei dipendenti con accesso a un database sensibile sono state rubate, ma non sono state utilizzate e sono state reimpostate)

  • comunicare la violazione alle persone colpite richiederebbeuno sforzo sproporzionato;

(Esempio: il titolare del trattamento non dispone di alcuna informazione che consenta di contattare gli interessati: in tal caso deve essere effettuata una comunicazione pubblica, o un provvedimento analogo che consenta di informare gli interessati in modo altrettanto efficace).

Cosa deve contenere il “registro violazione dei dati”

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante, al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

  • la natura della violazione;
  • le categorie e il numero approssimativo di interessati;
  • le categorie e il numero approssimativo di file interessati;
  • le probabili conseguenze della violazione;
  • le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
  • ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa deve essere notificato all’autorità di controllo

La notifica avviene tramite un sito dedicato , che guida il dichiarante nel suo approccio.

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Cosa si deve comunicare agli interessati

La comunicazione agli interessati deve almeno contenere ed esporre, in termini chiari e precisi, i seguenti elementi:

  • la natura della violazione;
  • le probabili conseguenze della violazione;
  • i dati di contatto della persona da contattare (DPO o altro);
  • le misure adottate per sanare la violazione e, se necessario, per limitare le conseguenze negative della violazione.

Deve essere integrato, ove necessario, con raccomandazioni alle persone per mitigare i potenziali effetti negativi della violazione e consentire loro di prendere le dovute precauzioni.

Esempi di consigli: cambiare la password degli utenti di un servizio, controllare l’integrità dei dati nel loro account online, salvare questi dati su un supporto personale.

Quando dovresti avvisare il Garante?

La notifica deve essere effettuata il prima possibile e non oltre 72 ore dopo che il titolare del trattamento ne è venuto a conoscenza.

In pratica, il punto di partenza di questo periodo è quando il titolare del trattamento ha un ragionevole grado di certezza che si è verificato un incidente e che ha influito sui dati personali. Ciò implica che ha messo in atto misure per rilevare le violazioni e che conduca indagini il prima possibile per ottenere tale ragionevole certezza. Durante questa fase istruttoria, si ritiene che il titolare del trattamento non sia a conoscenza della violazione.

Esempi di situazioni in cui il titolare del trattamento deve ritenersi informato della violazione:

  1. in caso di smarrimento di una chiavetta USB contenente dati personali, quando si accorge dello smarrimento della chiave;
  2. una terza parte informa il responsabile del trattamento di aver ricevuto un’e-mail con informazioni su un’altra persona e fornisce prova di ciò;
  3. non appena un criminale informatico contatta il titolare del trattamento e gli comunica che potrebbe aver rubato dati dai server dell’azienda, dopo aver verificato tali informazioni.

È necessario disporre di tutte le informazioni per denunciare la violazione

È ovviamente importante garantire, se necessario attraverso le indagini iniziali, che si sia effettivamente verificata una violazione e determinarne il livello di gravità. 

La natura e l’origine dell’incidente devono quindi essere presunte o accertate prima di denunciare la violazione al Garante.

Qualora, invece, il titolare del trattamento non disponga di tutte le informazioni che devono essere portate a conoscenza dell’autorità di controllo, tali informazioni possono essere comunicate al momento in cui ne ha conoscenza.

In pratica, deve fare quanto prima una prima comunicazione al Garante, attraverso il sito Web  messo a disposizione a tal fine, che poi completerà con l’ausilio di una comunicazione aggiuntiva. Ciò gli consentirà di svolgere le ulteriori indagini necessarie per identificare tutte le informazioni. Questa notifica aggiuntiva deve avvenire, se possibile, entro un massimo di 72 ore.

Cosa devo fare se il periodo di notifica di 72 ore viene superato?

Il titolare del trattamento deve comunque segnalare la violazione che comporti un rischio per i diritti e le libertà delle persone. In caso di superamento di tale termine, i motivi che giustificano il ritardo nella notifica, devono essere indicati al Garante.

In pratica, al titolare del trattamento sarà chiesto, direttamente nel servizio di notifica online, di motivare i motivi di tale ritardo.

Qual è il ruolo del responsabile del trattamento in caso di violazione dei dati?

Il responsabile del trattamento è tenuto a notificare al titolare del trattamento qualsiasi violazione dei dati non appena possibile, dopo averne avuto conoscenza. Ciò consente al titolare del trattamento di adempiere ai suoi vari obblighi in materia di violazione dei dati.

In pratica, è opportuno prevedere nel contratto che vincola il subappaltatore al responsabile del trattamento, un obbligo in tal senso a carico del subappaltatore.

L’obbligo di notifica all’autorità di controllo può essere affidato al responsabile del trattamento?

. Il titolare del trattamento può chiedere al responsabile del trattamento di agire per suo conto affinché quest’ultimo notifichi la violazione all’autorità di controllo, se il titolare del trattamento ritiene che la violazione in questione possa presentare un rischio per gli interessati.

Ciò non esclude quindi né l’obbligo imposto al subappaltatore di informare il titolare del trattamento di eventuali violazioni dei dati, né gli obblighi propri del titolare del trattamento: quest’ultimo deve aggiornare il proprio registro delle violazioni e mantenere il controllo sulla decisione di notificare o meno l’autorità di vigilanza (a seconda del livello di rischio stimato).

Come valutare l’assenza di rischio, il rischio e l’alto rischio

Tale valutazione deve essere effettuata caso per caso dal titolare del trattamento e deve tenere conto dei seguenti elementi:

  • il tipo di violazione (che pregiudica l’integrità, la riservatezza o la disponibilità dei dati);
  • la natura, la sensibilità e il volume dei dati personali interessati;
  • la facilità di identificazione delle persone interessate dalla violazione;
  • le possibili conseguenze di questi per le persone;
  • le caratteristiche di queste persone (bambini, persone vulnerabili, ecc.);
  • il volume delle persone interessate;
  • le caratteristiche del titolare del trattamento (natura, ruolo, attività).

Esempi di situazioni in cui non vi è alcun rischio che giustifichi la notifica al Garante o agli interessati: la divulgazione di dati diffusi già resi pubblici; cancellazione dei dati di backup e immediatamente ripristinati; la perdita di dati protetti da un algoritmo di crittografia all’avanguardia, se la chiave di crittografia non viene compromessa e se rimane disponibile una copia dei dati.

Quali sono i poteri del Garante in materia di violazione dei dati

Il Garante ha due missioni principali in termini di violazione dei dati:

  1. un ruolo di supporto ai titolari del trattamento: la finalità della notifica all’autorità di controllo è in particolare quella di consentire di raccogliere dal Garante, eventuali pareri e osservazioni in merito alle misure di sicurezza da attuare, per porre fine alla violazione o per minimizzarne gli effetti; consente inoltre di verificare se sono necessarie informazioni delle persone e, in tal caso, di ottenere indicazioni sulle modalità di tale richiesta.
  2. un ruolo di monitoraggio del rispetto degli obblighi dei titolari del trattamento: Il Garante può vigilare sul rispetto di tutti questi obblighi (registrazione, verifica del livello di rischio, rispetto delle scadenze e del contenuto delle notifiche, ecc.) e, se necessario, sanzionare le organizzazioni interessate. Può inoltre ordinare al titolare del trattamento di comunicare una violazione dei dati agli interessati, qualora lo ritenga necessario.

In entrambi i casi, è probabile che l’esame del Garante riguardi, al di là della sola violazione in questione, il livello di sicurezza generale del trattamento che la violazione può rivelare.

Smart Tv: i consigli per l’acquisto e la configurazione.

Sempre più presenti sul mercato e con molte funzionalità, i televisori connessi possono avere un impatto sulla tua privacy.

Consigli per l’acquisto e la configurazione del tuo dispositivo. 

Che cos’è una TV connessa?

Un televisore connesso, a volte indicato come “smart” (o smart TV), può essere collegato alla rete del computer di casa per accedere a servizi aggiuntivi tramite Internet (come servizi di streaming o social network).

Quali dati vengono raccolti?

Queste smart TV possono raccogliere diversi tipi di dati, tra cui:

  • i programmi che guardi, siano essi canali tradizionali o servizi di video on demand;
  • altri oggetti connessi alla rete domestica (altoparlanti, computer, console di gioco, ecc.);
  • persone che guardano la televisione (soprattutto se la televisione o il servizio che utilizzi offre un sistema di profili).

Potranno inoltre essere raccolti alcuni dati personali:

  • i tuoi identificativi, email, password, cognomi, nomi, date di nascita che inserisci al momento della registrazione online ai servizi;
  • la tua cronologia di navigazione:

Questi dati potrebbero essere utilizzati dal produttore o dai suoi partner commerciali per analizzare il tuo consumo di contenuti per offrirti, in particolare, pubblicità mirata in base ai tuoi centri di interesse. In questo caso, devi essere informato dello scopo di questo riutilizzo, della trasmissione di dati ai partner, nonché della natura, o anche dell’identità di questi partner, ecc. Devi anche essere in grado di accettare o rifiutare queste operazioni.

Consigli prima di acquistare una TV connessa

  • Scopri tutte le funzionalità offerte dal dispositivo, in particolare sulle schede prodotto (che includono tutte le funzionalità della TV), nonché sui forum di discussione (che possono offrire consigli di acquisto o feedback altri utenti);
  • In particolare, verifica che il software interno del televisore sia regolarmente aggiornato;
  • Se questi televisori sono dotati di microfono o videocamera, verifica di poterli disattivare in qualsiasi momento quando non ti sono utili (es. blackout fisico);
  • Adatta il tuo acquisto alle tue reali esigenze e agli articoli che già possiedi (tablet, computer, telefono, ecc.).

Suggerimenti per l’uso

  • Quando si configura la TV per la prima volta, inserire solo le informazioni che ritieni necessarie;
  • Se colleghi questo televisore a una rete Wi-Fi, assicurati che quest’ultima sia adeguatamente protetta, in particolare con una password complessa. Non collegare mai il televisore a una rete Wi-Fi pubblica;
  • Per i televisori con una fotocamera, considera la possibilità di disabilitarla o nasconderla fisicamente;
  • Disattiva anche il microfono se non lo stai utilizzando;
  • Controlla regolarmente la tua TV per gli aggiornamenti di sistema, software e firewall;
  • Disinstalla regolarmente le app che non usi più;
  • Se la funzione è disponibile, utilizza una password complessa per accedere a determinate applicazioni, in particolare quelle con cui puoi effettuare pagamenti;
  • Non salvare mai i tuoi dati bancari nelle app;
  • Attiva il filtro parentale per proteggere i più piccoli.

Sicurezza: autenticazione degli utenti.

Riconoscere i propri utenti per poter poi concedere l’accesso necessario.

Per garantire che un utente acceda solo ai dati di cui ha bisogno, deve essere dotato di un proprio identificatore e deve autenticarsi prima di qualsiasi utilizzo dei mezzi informatici.

I meccanismi che consentono l’autenticazione delle persone sono classificati a seconda che coinvolgano:

  • quello che sappiamo, ad esempio una password;
  • quello che abbiamo, ad esempio una smart card;
  • una caratteristica specifica della persona, ad esempio un’impronta digitale, o il modo di compilare una firma autografa. Ricordiamo che la legge sulla protezione dei dati subordina l’uso della biometria alla preventiva autorizzazione del Garante.

Si dice che l’autenticazione di un utente sia forte quando utilizza una combinazione di almeno due di queste categorie.

Precauzioni di base

Definisci un identificatore univoco per utente e vieta gli account condivisi tra più utenti. Se l’uso di identificatori generici o condivisi è inevitabile, richiedere la convalida  all’Amministratore di sistema di implementare i log per rintracciarli.

In caso di autenticazione utente basata su password, applicare le seguenti regole di complessità delle password:

  • almeno 8 caratteri di cui 3 dei 4 tipi di caratteri (maiuscolo, minuscolo, numeri, caratteri speciali), se l’autenticazione prevede una restrizione di accesso all’account (caso più comune) come ad esempio:
  • un ritardo di accesso all’account dopo diversi errori;
  • un “captcha”;
  • blocco dell’account dopo 10 fallimenti;
  • 12 caratteri minimo e 4 tipi di caratteri se l’autenticazione è basata solo su una password;
  • più di 5 caratteri se l’autenticazione include informazioni aggiuntive. Le informazioni aggiuntive devono utilizzare un identificatore riservato di almeno 7 caratteri e bloccare l’account al 5° tentativo non riuscito;
  • la password può contenere fino a 4 caratteri se l’autenticazione è basata su hardware di proprietà della persona e se la password viene utilizzata solo per sbloccare il dispositivo hardware di proprietà (ad esempio una smart card o un cellulare) e che è bloccato al 3° tentativo fallito.

I dispositivi mnemonici vengono utilizzati per creare password complesse, ad esempio:

  • mantenendo solo le prime lettere delle parole in una frase;
  • mettendo la maiuscola se la parola è un sostantivo (es.: Cuoco);
  • mantenere i segni di punteggiatura (es.: ‘);
  • esprimendo numeri utilizzando cifre da 0 a 9 (es.: Uno > 1);

Ad esempio, la frase “a Chef d’Entreprise a verti vale due” può corrispondere alla password 1Cd’Eaev2 .

Obbligare l’utente a modificare, dalla prima connessione, l’eventuale password assegnata da un amministratore o automaticamente dal sistema in fase di creazione dell’account o di rinnovo a seguito di una svista.

Cosa non dovresti fare

  • Comunicare la tua password ad altri;
  • Archiviare le password in un file, su carta o in un luogo facilmente accessibile da altre persone;
  • Salvare le tue password nel tuo browser, senza una password principale;
  • Utilizzare password a te correlate (nome, data di nascita, ecc.);
  • Utilizzare la stessa password per accessi diversi;
  • Mantenere le password predefinite;
  • Comunicare con mail le proprie password

Cosa dovresti fare

  • Preferire l’autenticazione forte quando possibile;
  • Limitare il numero di tentativi di accesso agli account utente sulle workstation e bloccare temporaneamente l’account al raggiungimento del limite;
  • Imporre un rinnovo della password secondo una periodicità pertinente e ragionevole;
  • Implementare mezzi tecnici per far rispettare le regole relative all’autenticazione (ad esempio: blocco dell’account in caso di mancato rinnovo della password);
  • Evitare, se possibile, che gli identificatori (o login) degli utenti siano quelli degli account definiti di default dai produttori di software e disattivare gli account di default;
  • Usare i gestori di password per avere password diverse per ogni servizio, mantenendo una sola password principale.

Cronologia di navigazione: perché è utile tenerla sempre pulita.

Che sia su smartphone, tablet o computer, la tua storia è preziosa, può essere usata per la pubblicità mirata. Pensa anche che può essere vista da una persona che utilizza il tuo terminale o da uno sconosciuto che accede al tuo account. Ecco alcune storie che sarebbe utile controllare meglio…

La cronologia del tuo browser…

Perché questo è importante?  Durante la navigazione in un sito Web, nel browser vengono memorizzate molte informazioni: cronologia delle pagine visitate e dei file scaricati, elementi memorizzati nella cache, cookie, password, campi modulo, ecc. Alcuni di questi elementi possono essere studiati da siti e applicazioni di terze parti, per offrirti contenuti personalizzati.

Se desideri limitare la profilazione legata alla cronologia, una delle soluzioni consiste nel cancellare le tracce lasciate durante la tua navigazione.

Su Chrome: apri il browser, digita “Ctrl + H” poi “Cancella dati di navigazione”. Ricordarsi di selezionare “Dall’inizio

Su Internet Explorer“Ctrl + MAIUSC + CANC” elimina quindi seleziona gli elementi che desideri eliminare.

Su Mozilla: Fare clic sul pulsante dei menu  per accedere al pannello dei menu.

Fare clic su Cronologia e successivamente su Cancella la cronologia recente….

Selezionare quali dati eliminare:

Fare clic sul menu a discesa “Intervallo di tempo da cancellare” per scegliere quanta cronologia eliminare (si può scegliere tra l’ultima ora, le ultime due ore, le ultime quattro ore, l’ultima giornata o tutta la cronologia).

…o usa la navigazione privata

Alcuni browser consentono di automatizzare in tutto o in parte questa eliminazione (ad esempio, la cancellazione della cronologia alla chiusura dell’applicazione). È anche possibile utilizzare un’opzione di navigazione privata. Quando lo attivi, diversi tipi di dati non vengono registrati: pagine visitate, dati del modulo, barra di ricerca, password, elenco dei download, cookie e file temporanei.

  • Su Chrome: MAIUSC+CTRL+N,
  • Su Firefox e Internet Explorer:  CTRL+MAIUSC+P,
  • Sul tuo iPhone, iPad o iPod touchapri Safari, quindi tocca il pulsante [menu]. Toccare Privato per abilitare la navigazione privata. L’interfaccia di Safari diventa più scura.

La cronologia del tuo motore di ricerca

Perché questo è importante?  Le tue richieste vengono registrate e potrebbero riapparire in una richiesta futura quando digiti le prime lettere dalla tastiera o dallo smartphone. A differenza della cronologia del browser, la cronologia del motore di ricerca non è memorizzata sul dispositivo. È memorizzato sui server del motore di ricerca, il che spiega perché è accessibile dai vari terminali. La maggior parte delle volte, questa cronologia è associata al tuo account di connessione sul motore di ricerca utilizzato. Per impostazione predefinita, è abilitato un periodo di conservazione abbastanza lungo (diversi mesi). Una funzione intuitiva ma che può svelare vecchie ricerche.

Su Google:  per disattivare la cronologia delle ricerche, vai su  questa pagina  e fai clic sull’ingranaggio, impostazioni quindi sospendi e infine “disattiva”.

Su Bing  : vai alla  scheda della cronologia,  quindi “elimina tutto” 

Si noti  che alcuni motori di ricerca non prevedono la memorizzazione della cronologia delle ricerche al loro livello (ad esempio  DuckduckGo o Qwant ).

La cronologia di geolocalizzazione del tuo smartphone…

Perché questo è importante?  La stragrande maggioranza dei telefoni attuali ha una funzione di geolocalizzazione. Circa il 30% delle applicazioni mobili utilizza la geolocalizzazione, a volte più volte al minuto. Le informazioni messe a disposizione di queste applicazioni possono essere utilizzate per dedurre le abitudini e gli stili di vita degli utenti (luoghi di vita e di lavoro, abitudini di presenza, mobilità, presenza presso strutture sanitarie o luoghi di culto).

  • Sul tuo smartphone Android  : puoi disattivare la cronologia della geolocalizzazione andando sulla  dashboard e cliccando su “sospendi” oppure puoi disattivare la geolocalizzazione in tempo reale nel menu “Impostazioni Google/posizione/disattiva”.
  • Sul tuo iPhone: puoi regolare la geolocalizzazione per ogni applicazione. Le impostazioni consentono di scegliere se l’applicazione può accedere “sempre” alla posizione o “solo se l’app è in esecuzione”.
  • Su Windows: la geolocalizzazione è disabilitata di default per ogni utente. Se questa opzione è attivata, vai al tuo pannello di controllo, clicca sulla scheda “privacy/Privacy” quindi disattiva tutti i servizi di localizzazione disponibili, incluso il servizio di localizzazione di Windows.

La cronologia dei post di Facebook o delle pagine “mi piace”

Perché questo è importante?  La cronologia dei tuoi post/azioni si sta accumulando. Se esegui 5 azioni al giorno, la cronologia registrerà più di 1.800 azioni durante l’intero anno. Alcuni di essi potrebbero riguardare vecchie pubblicazioni pubblicate in modalità “pubblica” e di cui potresti pentirti…

Su Facebook: vai al tuo profilo. Sul banner della tua foto, fai clic  poi “impostazioni e privacy”, “registro attività” cosi avrai una visione completa delle tue attività Su Facebook come su altri social network, si consiglia di pubblicare solo all’attenzione di un pubblico ristretto.

La cronologia dei video che hai visto…

Perché questo è importante?  Se hai eseguito l’accesso a un account YouTube/Google, il servizio salva la cronologia dei video che guardi per impostazione predefinita. Puoi disabilitare questa funzione per motivi di privacy o per impedire a qualcuno di imbattersi accidentalmente in questa cronologia.

  • Sull’applicazione Dailymotion: clicca sul pulsante “Menu” in alto a sinistra, clicca su “cronologia”, quindi sul cestino e conferma l’eliminazione.
  • Su Youtube: vai alla cronologia dei video visti, quindi “elimina”/”disattiva tutta la cronologia”. C’è anche un’opzione per disabilitare la cronologia video cercata.

La maggior parte dei servizi online offre una cronologia:

La cronologia delle tue conversazioni private: tornare ad essa ti permette di cancellare le conversazioni che non vuoi mantenere online. Su Facebook: apri lo scambio cliccandoci sopra, clicca tramite il pulsante “azioni” in alto quindi seleziona “Elimina conversazione” o “Elimina messaggi” (per eliminare una selezione di messaggi).

Nota: l’eliminazione di un messaggio o di una conversazione dalla tua casella di posta non lo elimina dalla casella di posta del tuo amico. Non puoi eliminare i messaggi inviati o ricevuti dalla posta in arrivo di un amico.

  • Lo storico dei tuoi acquisti online: tornare indietro ti permetterà anche di verificare se le tue coordinate bancarie sono ancora salvate e se sono aggiornate.
  • La cronologia del tuo assistente connesso: quando utilizzi un assistente connesso, vai regolarmente alla dashboard dell’applicazione mobile per eliminare la cronologia delle richieste vocali. 
  • La cronologia dei tuoi Tweet: è probabile che i messaggi pubblicati su Twitter vengano referenziati dai motori di ricerca. Se utilizzi un account nominativo, una semplice ricerca sul tuo nome e cognome può rivelare vecchi discorsi o contenuti imbarazzanti.

Siti di incontri online: regole di base per proteggere la tua privacy.

I siti di incontri attirano ogni anno sempre più utenti. Ecco alcune regole di base per controllare le informazioni che pubblichi su questi siti.

Al momento della registrazione

Controlla nella barra degli indirizzi che il sito di incontri utilizzi una connessione HTTPS sicura

Le pagine in cui un cliente comunica i propri dati personali, inserisce nome utente e password o effettua una transazione (contatti, pagamento online), devono utilizzare una connessione sicura. Nella barra degli indirizzi, controlla che l’URL del sito inizi con ” https:// ” e assicurati che sia presente un’icona che rappresenta un lucchetto bloccato.

Dai un’occhiata alle condizioni generali di utilizzo

Se non riesci a trovare risposte chiare alle seguenti domande, vai avanti:

  • Le condizioni sono chiare, comprensibili, scritte nella tua lingua?
  • Il sito ti dice i tuoi diritti e libertà sul computer?
  • Il sito trasmette i tuoi dati a terzi? per quale scopo?
  • C’è un indirizzo o un modulo di contatto in caso di controversia?
  • Ci sono dati pubblicamente disponibili? 
  • I non iscritti possono imbattersi nel tuo profilo?

Usa una password forte e diversa per ogni account

Una buona password dovrebbe essere abbastanza lunga, almeno otto caratteri. Deve essere composta da almeno 3 tipi di caratteri diversi, tra i quattro esistenti (maiuscolo, minuscolo, numeri e caratteri speciali). Non deve avere alcun legame con il suo titolare (nome, data di nascita, ecc.).

Usa uno pseudonimo

Uno pseudonimo è un nome falso che una persona sceglie di utilizzare per svolgere un’attività sotto un nome diverso da quello della sua identità ufficiale. Uno pseudonimo protegge la tua identità e i dettagli di contatto che potrebbero esservi allegati. Ti impedirà di associare il tuo profilo “sito di incontri”, al tuo profilo personale o professionale. 

Suggerimento:  non utilizzare un nickname ma un vero e proprio pseudonimo che nessun altro conosce! Se sei senza ispirazione, usa un generatore di nickname !

Configura le tue informazioni

I siti di incontri potrebbero chiederti informazioni personali, il cui controllo incrociato potrebbe consentirti di essere identificato (luogo di residenza, lavoro, ecc.). Assicurati che queste informazioni non siano rese pubbliche per impostazione predefinita all’intera comunità di utenti.

Assicurati che le tue coordinate bancarie siano utilizzate correttamente

Salvo casi eccezionali, non è consentita la conservazione dei dati bancari oltre il tempo necessario per il pagamento.

Hai un diritto di accesso che ti consente di verificare le informazioni

L’esercizio del diritto di accesso consente di verificare l’esattezza dei dati e, se necessario, di rettificarli o cancellarli. Puoi chiedere direttamente al gestore del sito se ha informazioni su di te e chiederci di comunicare tutti i dati che ti riguardano.

Al momento dell’uso

Attenzione ai dati sensibili!

Molti siti incoraggiano gli utenti di Internet a inserire quante più informazioni facoltative possibile nella pagina del loro profilo. Interrogati sull’interesse a pubblicare informazioni molto intime (preferenze sessuali, stato fisico, religione, ecc.) che, in caso di divulgazione incontrollata, potrebbero danneggiarti.

Prendi il controllo della tua immagine

Ovviamente non è consigliabile distribuire foto intime o sessualmente esplicite su uno spazio connesso. Ricorda che nessun sito o applicazione per smartphone è al sicuro da hacker, falle di sicurezza o applicazioni dannose di terze parti. 

Importante:  Al di là di questi rischi, è molto facile per un utente Internet malintenzionato ripubblicare le foto che metti online su siti pornografici o su siti i cui utenti sono pubblici (blog, social network, forum, …). 

Limita la geolocalizzazione della tua applicazione mobile

Anche quando non la utilizzi, l’applicazione continua a raccogliere e trasmettere informazioni su di te (identificatori, posizione). Chiudi l’app in background o disattiva la sua funzione di geolocalizzazione quando non la usi più.

Alla fine del servizio

Il sito deve darti la possibilità di eliminare completamente e definitivamente il tuo account.

I dati personali che hai fornito durante l’utilizzo del servizio dovrebbero essere cancellati e non solo disattivati.

Puoi in qualsiasi momento opporti all’utilizzo delle tue informazioni da parte del sito!

Il diritto di opposizione consente di richiedere la cancellazione dei dati personali registrati in file commerciali, commenti e foto pubblicati sul sito di incontri online. In caso di rifiuto o risposta insoddisfacente due mesi dopo la tua richiesta, puoi contattare il Garante Privacy.

Proteggere i tuoi acquisti online: serve molta attenzione.

Vediamo come ridurre il rischio di essere hackerato.

Regali di Natale, biglietti del treno, acquisti online non hanno più segreti per te? Rimani vigile per ridurre significativamente il rischio di essere hackerato a tua insaputa. 

Attenzione alle reti Wi-Fi pubbliche

Un hacker può vedere il traffico dati su una rete Wi-Fi non protetta: può cogliere l’occasione per installare software dannoso sul tuo dispositivo o intercettare alcuni dei tuoi dati.

Non connetterti al sito di un commerciante o al sito della tua banca, anche tramite un’applicazione, tramite il Wi-Fi pubblico (stazione, bar, ecc.) o il Wi-Fi di un hotel.

A casa, proteggi la tua rete Wi-Fi con una password complessa prima di qualsiasi transazione.

Il lucchetto: segno di pagamento sicuro

Al momento del pagamento, inserisci solo le tue coordinate bancarie su un modulo che include la sicurezza HTTPS (solitamente un piccolo lucchetto è visibile nella barra degli indirizzi del tuo browser). La comunicazione con il sito Web è quindi sicura, comprese le informazioni di pagamento.

Non condividere mai le tue informazioni bancarie

 In generale, non comunicare mai il numero della tua carta di credito e il crittogramma visivo (trigramma) per telefono, e-mail o tramite un canale non protetto appositamente per questo scopo.

Imposta la doppia sicurezza di pagamento offerta dalla tua banca. Può assumere la forma di un codice segreto richiesto subito dopo il pagamento. Questo può essere inviato tramite SMS, e-mail, telefono.

È preferibile non registrare la carta di credito su un’applicazione per smartphone.

Si raccomanda di non memorizzare i dati relativi alla carta di pagamento sull’applicazione o nel browser del cliente in quanto tali terminali non sono necessariamente progettati per garantire una sicurezza ottimale dei dati bancari.

Attenzione ai siti sconosciuti

Alcuni siti dannosi possono assumere l’aspetto di un sito commerciale o di pagamento che conosci.

Prima di acquistare:

  • conoscere sistematicamente la reputazione del sito;
  • favorire gli acquisti su siti riconosciuti;
  • leggere le valutazioni/recensioni dei consumatori, in particolare nei forum di discussione;
  • attenzione ai siti che offrono prezzi notevolmente inferiori rispetto ai loro concorrenti.